O conjunto de regras estabelecidas pela Lei Geral de Proteção de Dados (LGPD) transformou significativamente a relevância de proteção de dados no Brasil. 

Os bancos e instituições financeiras cada vez mais investem em tecnologia com o intuito de proporcionar uma melhor experiência ao cliente e ampliar seu portfólio de produtos e serviços. A forma como é feito o relacionamento com clientes agora têm um peso estratégico para as instituições, dando enfoque em questões de cibersegurança e proteção de dados pessoais. O grande objetivo é manter a confiança do cliente, em um momento o qual a segurança virou assunto delicado.

Os serviços financeiros são um dos principais alvos de cibercriminosos, principalmente após a pandemia, quando o número de transações bancárias aumentou de forma considerável. Além disso, com a chegada do Open Banking, processo que facilita o compartilhamento de informações sensíveis entre os bancos, pode aumentar bastante a superfície de ataque cibernético nesse novo ecossistema.

Com este cenário, para que as empresas do setor estejam em conformidade com a LGPD no ambiente de nuvem, será preciso implementar melhorias no processo de tratamento e proteção de dados pessoais e sensíveis. Entre as obrigações, destaca-se a utilização de ferramentas de proteção contra acessos não autorizados, perda, alteração ou qualquer forma de tratamento inadequado ou ilícito. Tudo isso para evitar não só riscos de vazamento de dados sensíveis, como consequências negativas no âmbito financeiro, operacional e reputacional. 

Mas vamos dar um passo atrás e esclarecer algumas dúvidas. Com a chegada da LGPD, surgiram questionamentos como: “Qual o impacto da lei no uso de recursos de computação em nuvem?” “O que fazer para prevenir eventuais sanções?”. Continue lendo e descubra.

LGPD em computação em nuvem

Tanto a LGPD quanto a GDPR influenciam a forma de tratamento de dados no contexto de computação em nuvem. 

Como é um tema muito novo, separamos abaixo os principais aspectos da lei junto com algumas das melhores práticas para manter a nuvem aderente aos requisitos da LGPD.

1. Segurança e prevenção

O que diz a lei

Prevenção e segurança são palavras de ordem para o tratamento de dados regulamentado pela LGPD. 

Nesse ponto, o artigo 6º, diz o seguinte:

Artigo 6º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
(…)
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
(…)

Práticas recomendadas de conformidade 

Em termos de proteção de recursos de nuvem contra acessos não autorizados, é imprescindível o uso do IAM – Identity & Access Management. Nesse ponto, as melhores práticas são:

• Evite utilizar a conta root. A conta root permite acesso total aos recursos da nuvem, incluindo dados pessoais dos administradores e informações de faturamento. Para mitigar o risco de acesso indevido e não autorizado à informações confidenciais, crie usuários no IAM e atribua as políticas necessárias de acordo com o princípio do privilégio mínimo.
• Estabeleça boas políticas de senha. Para aumentar a segurança das senhas, exija o emprego de símbolos, números, letras minúsculas e maiúsculas, comprimento mínimo de senha e rotacionamento de chaves. 
• Utilize ferramentas adicionais de segurança. Existem diversas opções para ampliar a proteção dos recursos, como a autenticação multi-fator (MFA) e questões de segurança para recuperação de acesso.

2. Sigilo dos dados pessoais

O que diz a lei

A confidencialidade dos dados sensíveis é tratada mais especificamente no artigo 46 da lei, que dispõe o seguinte:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Práticas recomendadas de conformidade 

Além das práticas mencionadas no tópico anterior, existem outras tarefas importantes que ajudam a manter o sigilo dos dados pessoais inseridos na nuvem. 

• Nunca compartilhe de credenciais de acesso a terceiros. Sempre que necessário, crie um novo usuário do IAM;
• Atribua políticas de restrição de acesso aos recursos de nuvem para evitar a exposição e acesso de dados sensíveis;
• Habilite a criptografia nos recursos como de armazenamento e processamento de dados para evitar o risco de acesso a dados sensíveis por terceiros não autorizados ou agentes maliciosos.

3. Boas práticas de governança

O que diz a lei

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Práticas recomendadas de conformidade 

Os provedores oferecem serviços de monitoramento e logs para ajudar e facilitar a identificação de exposição indevida de recursos e análises de auditoria:

• Ative controles de detecção a partir de registro de logs para identificar configurações incorretas de segurança, ameaças ou comportamentos inesperados. Alguns dos serviços disponíveis são: Amazon CloudTrail, Azure Audit Logs e Cloud Audit Logs. 
• Monitore e seja alertado quando houver mudanças nas configurações dos recursos para prevenir acesso a dados sensíveis desprotegidos ou outras violações de segurança. Alguns dos serviços disponíveis são: Amazon CloudWatch, Azure Monitor e Cloud Monitoring.

Conte com o único produto de conformidade para LGPD 

Adaptar os recursos da nuvem às exigências da LGPD de forma contínua não é tarefa fácil, e um produto CSPM pode ajudar com isso. São muitas regras, potenciais vulnerabilidades e recursos onde podem haver dados sensíveis, e como a nuvem está sempre em mudança fazer isso manualmente é quase impossível.

O CleanCloud Score, pode ajudar! Este faz mais de 300 verificações periódicas de conformidade para a nuvem AWS, Azure e Google Cloud de acordo com os principais frameworks e regulações do mercado, inclusive GDPR e LGPD.